【漏洞预警】CISA新增4个已知遭骇客利用之漏洞至KEV目录(2025/06/30-2025/07/06)
公告日期:2025年07月09日张贴人:资通安全暨个资保护宣导网
教育机构ANA通报平台
| 发布编号 |
TACERT-ANA-2025070910073838 |
发布时间 |
2025-07-09 10:56:39 |
| 事故类型 |
ANA-漏洞预警 |
发现时间 |
2025-07-09 10:56:39 |
| 影响等级 |
低 |
|
|
| [主旨说明:]【漏洞预警】CISA新增4个已知遭骇客利用之漏洞至KEV目录(2025/06/30-2025/07/06) |
| [内容说明:]
1.【CVE-2025-6543】Citrix NetScaler ADC and Gateway Buffer Overflow Vulnerability (CVSS v3.1: 9.8)
【是否遭勒索软体利用:未知】 Citrix NetScaler ADC和Gateway存在缓冲区溢位漏洞,可能导致非预期的控制流程改变及阻断服务。
【影响平台】请参考官方所列的影响版本
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
2.【CVE-2025-48928】TeleMessage TM SGNL Exposure of Core Dump File to an Unauthorized Control Sphere Vulnerability (CVSS v3.1: 4.0)
【是否遭勒索软体利用:未知】 TeleMessage TM SGNL存在核心转储档案暴露于未经授权控制范围的漏洞。可能透过包含身分验证资料的记忆体转储档案泄漏敏感资讯。
【影响平台】 TeleMessage 2025-05-05(含)之前的版本
3.【CVE-2025-48927】TeleMessage TM SGNL Initialization of a Resource with an Insecure Default Vulnerability (CVSS v3.1: 5.3)
【是否遭勒索软体利用:未知】 TeleMessage TM SGNL存在以不安全预设值初始化资源的漏洞。此漏洞与Spring Boot Actuator的设定方式有关,当堆转储端点暴露于/heapdump URI时,可能导致安全风险。
【影响平台】 TeleMessage 2025-05-05(含)之前的版本
4.【CVE-2025-6554】Google Chromium V8 Type Confusion Vulnerability (CVSS v3.1: 8.1)
【是否遭勒索软体利用:未知】 Google Chromium V8存在类型混淆漏洞,远端攻击者可透过特制的HTML网页执行任意读写。此漏洞可能影响多种使用Chromium的网页浏览器,包括但不限于Google Chrome、Microsoft Edge及Opera。
【影响平台】请参考官方所列的影响版本
https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html
情资分享等级: WHITE(情资内容为可公开揭露之资讯)
烦请贵单位协助转发与通知辖下各单位知悉 |
| [影响平台:]
详细内容于内容说明栏之影响平台 |
| [建议措施:]
1.【CVE-2025-6543】 官方已针对漏洞释出修复更新,请更新至相关版本
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
2.【CVE-2025-48928】 受影响的产品暂无有效缓解措施。建议使用者停止使用相关产品。
3.【CVE-2025-48927】 受影响的产品暂无有效缓解措施。建议使用者停止使用相关产品。
4.【CVE-2025-6554】 官方已针对漏洞释出修复更新,请更新至相关版本
https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html
|
| [参考资料:] |
